Una delle spiegazioni più utili che ho trovato è la pagina EFF su Tor e HTTPS . Si tratta di un diagramma interattivo che mostra chi ha accesso a quali informazioni su di te, normalmente, quando si utilizza uno dei Tor o HTTPS, o l'utilizzo di entrambi. è un po 'incentrato sugli Stati Uniti; le leggi in altri paesi possono influire su ciò che le organizzazioni possono raccogliere legalmente.
Una limitazione a ciò che copre questa pagina è che si tratta solo di ciò che un osservatore può scoprire su una singola richiesta HTTP. Quando si discute di elementi come il monitoraggio dei risultati di ricerca in più giorni, c'è di più da parlare in termini di traffico deanonymizing . Cioè, se so che qualcuno ha cercato "foo" e so che qualcuno ha cercato "bar", so che erano la stessa persona? L'IP è il modo più ovvio in cui puoi essere rintracciato, e i cookie persistenti sono un'altra opzione ben conosciuta, ma ci sono anche molte altre opzioni più sofisticate come HSTS super cookie e impronte digitali (più qui e qui ). È ancora più facile se accedi ai siti (hai effettuato l'accesso a un account Google? Un account Facebook?).
C'è molto altro di cui parlare, più di quanto probabilmente si inserirà in una risposta Stack Exchange. Se hai domande più specifiche, ti inviterei a chiederle separatamente.
Il brevissimo tldr è "sì, le aziende e i governi (i tuoi e gli altri) sanno cosa stai facendo".